Office 365 ja GDPR – tunnista omat vastuusi tietoturvasta

GDPR

GDPR eli 25.5.2018 alkaen sovellettava EU:n yleinen tietosuoja-asetus aiheuttaa tämän vuoden lopulla ja ensi vuoden alussa paljon työtä yrityksille ja organisaatioille tietoturvaan ja siihen liittyviin käytäntöihin liittyen. Isojen sakkojen uhalla kaikkien EU:n alueella toimivien pitää pystyä osoittamaan, että kaikki henkilöihin liittyvä data on selkeillä prosesseilla hallinnoitua, ja että sen tietoturvasta pidetään huolta.

Jos osa yrityksesi datasta sijaitsee pilvipalveluissa, kuten Office 365:ssä ja Azuressa, GDPR:ään liittyvät vaatimukset saattavat hämmentää: onko tieto turvassa automaattisesti, kun siitä huolehtii pilvipalvelun tarjoaja?

Vastaus on ei.

Pilvipalvelun tarjoaja, kuten Office 365:n ja Azuren tapauksessa Microsoft, huolehtii fyysisen alustan ja konesalien turvallisuudesta, infrastruktuurista ja kapasiteetista, mutta tämä ei vielä riitä GDPR-vaatimusten täyttämiseen.

Pilvipalvelun käyttäjäorganisaation GDPR-vastuut

Pilvipalvelun käyttäjänä täytät GDPR-vastuusi seuraavilla kohdilla:

  • Huolehdi henkilödataan liittyvistä prosesseista ja prosessien dokumentoinnista: kuka saa hallinnoida tietoja ja millä prosessilla. Ainakin O365:n käyttäjärekisteri ja tilien hallinta on henkilödataa, jonka hallinnoinnin pitää olla dokumentoitua.
  • Estä väärinkäytökset: arkaluonteiseksi luokiteltu tieto ei saa vahingossa levitä organisaatiosi ulkopuolelle esimerkiksi julkisen linkin kautta. Henkilöihin liittyvää dataa voidaan käsitellä sähköposteissa ja dokumenteissa.
  • Salaa sähköpostiliikenne, jos siihen on tarvetta.
  • Reagoi tietoturvapoikkeuksiin ja raportoi niistä. Jokainen EU:n sisällä toimiva organisaatio on velvollinen raportoimaan tietoturvauhasta 72 tunnin kuluessa tietosuojaviranomaisille sakon uhalla.

Käytännön tasolla tämä listaus tarkoittaa, että tehtävänäsi on dokumentoida prosessit, joilla henkilödataa hallitaan. Sinun tarvitsee myös ottaa käyttöön tarvittavia tietoturva-asetuksia ja lisäpalveluita, joita Office 365:n kylkeen voi hankkia. Ne eivät ole oletuksena käytössä.

1. Varmista tietoturva O365:ssä

  • Ota käyttöön tietoturva-asetukset (MDM) mobiililaitteiden pääsynhallintaan, etätyhjennykseen ja salasanan pakotukseen
  • Laita järjestelmänvalvojille päälle vahva tunnistautuminen (MFA)
  • Ota käyttöön virustorjunta, haittaohjelmien tunnistus ja SPAM-filtterit. Jos haluat lisää varmuutta, hanki lisämaksusta Advanced Threat Protection (ATP).

2. Huolehdi, ettei arkaluontoinen data leviä vääriin käsiin

  • Yrityksesi tietoturvapolitiikka saattaa määrittää, että osa käsittelemästänne tiedosta on arkaluontoista.
  • Estä arkaluontoisen tiedon lähteminen väärille henkilöille DLP:n eli Data Loss Prevention –asetuksen avulla. Esimerkiksi kaikki dokumentit tai sähköpostiviestit, joissa on henkilötunnus tai luottokortin numero, voidaan estää lähtemästä sähköpostilla talon ulkopuolelle. Käyttäjä voi ohittaa eston tietoisella päätöksellään.
  • Azure Information Protection –palvelu mahdollistaa sähköpostin suojauksen. Jos organisaatiosi tarvitsee välittää arkaluontoista tietoa sähköpostilla, tämä on erittäin tärkeä lisäpalvelu.

3. Varmista, ettei oleellinen data katoa O365:stä

  • Yrityksesi tietoturvapolitiikka saattaa määrittää, että jokin tieto on sellaista, mikä pitää säilyttää pysyvästi.
  • Jos tarpeena on varmistaa, etteivät esimerkiksi asiakkaalta tulleet sähköpostit katoa taivaan tuuliin, voit estää niiden poistamisen In Place Hold –asetuksen avulla.
  • On hyvä myös huolehtia siitä, että data on yleensäkin varmistettuna, ja siihen on prosessit olemassa sekä varmistuksien että palautuksien osalta.

4. Varmista, että pystyt valvomaan poikkeamia ja raportoimaan niistä viranomaisille

  • Tietoturvan seurannasta pitää tehdä päivittäinen työ, koska GDPR vaatii tietoturvapoikkeamasta ilmoittamisen 72 tunnin kuluessa viranomaisille.
  • Tietoturvan seurantaan ja raportointiin on tarjolla kolme palvelua, joiden käyttömahdollisuus riippuu tilatusta palvelupaketista ja tarpeestanne:
    • Threat Intelligence mahdollistaa reaaliaikaisen tietoturvan seurannan O365:ssä E5-paketin tilaajille.
    • Advanced Security Management on saatavissa lisämaksusta kaikkiin paketteihin. Se havainnoi uhkia O365:ssä ja tunnistaa O365-pilvisovellusten käytön.
    • Cloud App Security on hieman kalliimpi lisäpalvelu, joka sisältää laajan tuen myös muille yrityksesi käyttämille pilvipalveluille. Saat näkyvyyden siihen, mitä SaaS-palveluita käytetään, ja tunnistat mahdolliset uhat.

5. Varmista käyttäjähallinnan tietoturva ja dokumentoi prosessit

O365-käyttäjähallinnan osalta kannattaa harkita, onko teillä tarvetta Azure AD:n Premium –ominaisuuksille, joilla saa mm. salasanojen itsepalvelun.

Käyttäjähallinnan osalta pelkkä tekniikka ei riitä GDPR-vaatimusten täyttämiseen pilvipalveluissa, vaan yksi tärkeimmistä asioista on huolehtia, että organisaatiosi O365-käyttäjätilejä hallitaan määrämuotoisen prosessin kautta. Lisäksi kaikki toimintamallit on oltava dokumentoitu; kuvaa siis huolella koko henkilötietojen elinkaaren hallinta eli luominen, muokkaus ja poisto.

Tässä oli pieni otos Office 365 –lisäpalveluista ja tehtävistä, joilla varmistat GDPR:n mukaisen henkilödatan käsittelyn, suojauksen ja tietoturvan Office 365 –ympäristössäsi. Tietoturva-asetusten ja palveluiden käyttö kannattaa aina suunnitella tapauskohtaisesti pohjautuen tietoturvapolitiikkaanne ja lisensointimalliinne.

Aiheeseen liittyvät palvelumme

  • Inmics auttaa pilvipalveluiden kuten Office 365:n ja Azuren saattamisen GDPR-vaatimusten mukaiseksi. Autamme valitsemaan teille tarkoituksenmukaiset tietoturva-asetukset ja lisäpalvelut tietoturvapolitiikkanne mukaisesti
  • Inmics tarjoaa tarjoaa kokonaisvaltaista hallinnointipalvelua O365-ympäristöllenne ja Azurelle. Managed O365 –palvelun ja Managed Azure –palvelun avulla jätät kaiken admin-tasoisen työn Inmicsin hoidettavaksi ja samalla säästyt GDPR:ään liittyvältä lisätyöltä näiden pilvipalveluiden osalta. Managed-palvelut kattavat kaiken GDPR:ään liittyvän, eli tietoturvakartoituksen, tarvittavien tietoturvapalveluiden käyttöönoton, datan hallinnoinnin ja suojauksen sekä raportoinnin.

Ole yhteydessä, niin jutellaan, miten voimme auttaa!

Näytä
Piilota